Interfejsy API systemu konfiguracji Windows (WinCS) dla funkcji bezpiecznego rozruchu

Dotyczy
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Uwaga

  • Data pierwotnej publikacji: 14 października 2025 r.
  • Identyfikator KB: 5068197
Dziennik zmian
Zmień datę Opis zmiany
16 kwietnia. 2026
  • Usunięto sekcję "Dostępność tej pomocy technicznej" jako informacje zawarte w sekcji "Platformy obsługiwane przez system WinCS".
10 kwietnia 2026 r
  • Zaktualizowano datę dla systemu Windows 10 1607 / : Windows Server 2016 w sekcji "Platformy obsługiwane przez system WinCS".
  • Dodano nową obsługę platform dla systemów Windows Server 2012 i Windows Server 2012 R2 (ESU) w sekcji "Platformy obsługiwane przez system WinCS".
20 luty 2026 r
  • Dodano nową sekcję "Najpierw sprawdź, czy certyfikaty bezpiecznego rozruchu są zaktualizowane na platformie"
16 grudnia 2025 r.
  • Poprawiono wiersz polecenia w sekcji "Jak zastosować konfigurację bezpiecznego rozruchu", ponieważ zawierał niepoprawne znaki.

    Do: WinCsFlags.exe /apply –-key "F33E0C8E002"
  • Poprawiono wiersz poleceń w sekcji "Jak przeprowadzić inspekcję konfiguracji bezpiecznego rozruchu", ponieważ zawierał spację na końcu wiersza.

    Do: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • W sekcji "Dostępność tej pomocy technicznej" dodano, że system Windows 10, wersje 21H2 i 22H2 oraz system Windows Server 2022 jest dodawany do wersji z 11 listopada 2025 r. i później. Ponadto pomoc techniczna dla innych wersji systemu Windows zostanie uwzględniona w aktualizacjach wydanych w pierwszym kwartale 2026 r.
11 grudnia 2025 r.
  • Zmieniono krok 3 sekcji "Jak przeprowadzić inspekcję konfiguracji bezpiecznego rozruchu":

    Od: Aby sprawdzić, czy aktualizacja bazy danych bezpiecznego rozruchu powiodła się, otwórz wiersz polecenia programu PowerShell jako administrator, a następnie uruchom następujące polecenie:

    Do: Aby szybko sprawdzić, czy aktualizacja bazy danych bezpiecznego rozruchu zakończyła się pomyślnie, otwórz wiersz polecenia programu PowerShell jako administrator, a następnie uruchom następujące polecenie:
  • Dodano krok 4 do sekcji "Jak przeprowadzić inspekcję konfiguracji bezpiecznego rozruchu":

    Aby sprawdzić, czy wszystkie certyfikaty zostały zaktualizowane, zapoznaj się z tematem Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla informatyków i organizacji i postępuj zgodnie ze wskazówkami w sekcji "Monitorowanie dzienników zdarzeń". Ta sekcja zawiera identyfikatory zdarzeń 1801 i 1808 , które umożliwiają pełną inspekcję zaktualizowania certyfikatów.

Interfejs wiersza polecenia bezpiecznego rozruchu przy użyciu systemu konfiguracji Windows (WinCS)

Cel: Administratorzy domeny mogą alternatywnie używać systemu konfiguracji Windows (WinCS) wydanego z aktualizacjami systemu operacyjnego Windows, aby wdrażać aktualizacje bezpiecznego rozruchu na klientach i serwerach Windows przyłączonych do domeny. Składa się z narzędzia interfejsu wiersza polecenia (CLI) do wykonywania zapytań i stosowania konfiguracji bezpiecznego rozruchu lokalnie na komputerze.

WinCS działa z kluczem konfiguracji, który może być używany z narzędziem wiersza polecenia do modyfikowania stanu konfiguracji bezpiecznego rozruchu na maszynie. Po zastosowaniu następny zaplanowany bezpieczny rozruch wykona akcje zgodnie z kluczem.

Najpierw sprawdź, czy certyfikaty bezpiecznego rozruchu są zaktualizowane na Twojej platformie

Stan bezpiecznego rozruchu można sprawdzić za pomocą polecenia Powershell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Jeśli stan to "Zaktualizowano", nie musisz uruchamiać WinCS i możesz pominąć poniższe kroki.

Jeśli certyfikaty nie zostaną zaktualizowane do wersji z 2023 r., obowiązują poniższe dodatkowe kroki.

Platformy obsługiwane przez system WinCS

Narzędzie wiersza poleceń WinCS jest obsługiwane w systemie Windows 10, wersja 21H2, Windows 10, wersja 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, wersja 23H2, Windows 11, wersja 24H2, Windows 11, wersja 25H2.

To narzędzie jest dostępne w aktualizacjach systemu Windows wydanych 28 października 2025 r. i po tej dacie dla systemu Windows 11 w wersji 24H2 i systemu Windows 11 w wersji 23H2.

To narzędzie jest również dostępne w aktualizacjach systemu Windows wydanych 11 listopada 2025 r. i po 11 listopada 2025 r. dla systemu Windows 10, wersja 21H2, Windows 10, wersja 22H2 i Windows Server 2022.

W przypadku systemu Windows Server 2019 to narzędzie jest dostarczane w aktualizacjach systemu Windows wydanych 13 stycznia 2026 r. i później.

W przypadku systemów Windows Server 2016, Windows 10 1607 to narzędzie jest dostarczane w aktualizacjach systemu Windows wydanych 14 kwietnia 2026 r. i później.

W przypadku systemów Windows Server 2012 i Windows Server 2012 R2 (ESU) to narzędzie jest dostarczane w aktualizacjach systemu Windows wydanych 14 kwietnia 2026 r. i później.

Oto klucz funkcji konfiguracji bezpiecznego rozruchu, który administratorzy domeny będą odpytywać i stosować do urządzeń za pośrednictwem usługi WinCS.

Nazwa funkcji Klucz WinCS Opis
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Włączenie tego klucza umożliwia instalację na urządzeniu następujących nowych certyfikatów bezpiecznego rozruchu dostarczonych przez firmę Microsoft.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Wartość klucza WinCS:

  • F33E0C8E002 – Stan konfiguracji bezpiecznego rozruchu = włączony

Jak wysłać zapytanie o konfigurację bezpiecznego rozruchu

O konfigurację bezpiecznego rozruchu można zapytać, otwierając wiersz polecenia jako administrator i uruchamiając następujące polecenie:

Uwaga

WinCsFlags.exe /query --key F33E0C8E002

Spowoduje to zwrócenie następujących informacji (na czystym komputerze):

Uwaga

  • Flaga: F33E0C8E
  • Bieżąca konfiguracja: F33E0C8E001
  • Stan: Wyłączony
  • Oczekująca konfiguracja: Brak
  • Oczekujące działanie: Brak
  • FwLink: https://aka.ms/getsecureboot
  • Dostępne konfiguracje:
  • F33E0C8E002
  • F33E0C8E001

Zwróć uwagę, że bieżąca konfiguracja na urządzeniu to F33E0C8E001, co oznacza, że klucz bezpiecznego rozruchu jest w stanie wyłączonym .

Jak zastosować konfigurację bezpiecznego rozruchu

Konfigurację bezpiecznego rozruchu można zastosować, otwierając wiersz polecenia jako administrator i uruchamiając następujące polecenie:

Uwaga

WinCsFlags.exe /apply --key "F33E0C8E002"

Pomyślne zastosowanie klucza powinno zwrócić następujące informacje:

Uwaga

  • Flaga: F33E0C8E
  • Bieżąca konfiguracja: F33E0C8E002
  • Stan: Włączone
  • Oczekująca konfiguracja: Brak
  • Oczekujące działanie: Brak
  • FwLink: https://aka.ms/getsecureboot
  • Dostępne konfiguracje:
  • F33E0C8E002
  • F33E0C8E001

Jak przeprowadzić inspekcję konfiguracji bezpiecznego rozruchu

Aby później określić stan konfiguracji bezpiecznego rozruchu, możesz ponownie uruchomić początkowe polecenie zapytania, otwierając wiersz polecenia jako administrator:

Uwaga

WinCsFlags.exe /query --key F33E0C8E002

W zależności od stanu flagi zostaną wyświetlone informacje podobne do poniższych:

Uwaga

  • Flaga: F33E0C8E
  • Bieżąca konfiguracja: F33E0C8E002
  • Stan: Włączone
  • Oczekująca konfiguracja: Brak
  • Oczekujące działanie: Brak
  • FwLink: https://aka.ms/getsecureboot
  • Dostępne konfiguracje:
  • F33E0C8E002
  • F33E0C8E001

Zwróć uwagę, że stan klucza to teraz Włączone i bieżąca konfiguracja to F33E0C8E002.

Uwaga

Uwaga: Zastosowanie klucza bezpiecznego rozruchu przez WinCS nie oznacza, że proces instalacji certyfikatu bezpiecznego rozruchu rozpoczął się lub zakończył.  Oznacza jedynie, że komputer będzie kontynuował aktualizacje bezpiecznego rozruchu, gdy zadanie obsługi bezpiecznego rozruchu (TPMTasks) zostanie uruchomione na tym komputerze przy następnej możliwej okazji. Po uruchomieniu modułu TPMTask na tym komputerze wykryje 0x5944 i przeprowadzi aktualizację. Zgodnie z projektem zaplanowane zadanie Secure-Boot-Update jest uruchamiane co 12 godzin w celu przetworzenia takich flag aktualizacji bezpiecznego rozruchu. W razie potrzeby administratorzy mogą również przyspieszyć zadanie, uruchamiając je ręcznie lub ponownie uruchamiając.

Możesz również ręcznie wyzwolić zadanie obsługi bezpiecznego rozruchu, wykonując poniższe kroki:

  1. Otwórz wiersz programu PowerShell jako administrator, a następnie uruchom następujące polecenie:

    Uwaga

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Uruchom ponownie urządzenie dwa razy po uruchomieniu polecenia, aby potwierdzić, że urządzenie jest uruchamiane ze zaktualizowaną bazą danych podpisów zaufanych (DB).

  3. Aby szybko sprawdzić, czy aktualizacja bazy danych bezpiecznego rozruchu zakończyła się pomyślnie, otwórz wiersz polecenia programu PowerShell jako administrator, a następnie uruchom następujące polecenie:

    Uwaga

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Bezpieczny rozruch
    Jeśli polecenie zwraca wartość True, oznacza to, że aktualizacja zakończyła się pomyślnie.

    W przypadku wystąpienia błędów podczas stosowania aktualizacji bazy danych zobacz artykuł KB5016061: Rozwiązywanie problemów z lukami w zabezpieczeniach i odwołanymi menedżerami rozruchu.

    Uwaga

    Sprawdzany jest tylko jeden urząd certyfikacji, a nie wszystkie urzędy certyfikacji.

  4. Aby sprawdzić, czy wszystkie certyfikaty zostały zaktualizowane, zapoznaj się z tematem Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla informatyków i organizacji i postępuj zgodnie ze wskazówkami w sekcji "Monitorowanie dzienników zdarzeń". W tej sekcji znajdują się identyfikatory zdarzeń 1801 i 1808 , które są pełniejszym sposobem inspekcji aktualizacji certyfikatów.